Компания Apple вчера выпустила обновление OS X Bash Update 1.0 для операционных систем OS X 10.9, 10.8 и 10.7. Этот апдейт исправляет уязвимость Shellshock в командной оболочке Bash, которую обнаружили на прошлой неделе.

Программа Bash установлена по умолчанию во многих операционных системах Unix и Linux. После обнаружения уязвимости её обновляли дважды.

После установки на OS X Mavericks патч обновляет программу Bash с версии 3.2.51 на 3.2.53. В принципе, каждый пользователь может сделать это самостоятельно. Нужно, чтобы на компьютере была установлена операционная система OS X 10.9.5, 10.8.5 или 10.7.5.

Уязвимость Shellshock допускает удалённое исполнение кода на компьютере, где установлен Bash. Это связано с некорректной обработкой переменных окружения и определений функций. Уязвимость связана с тем, что Bash не останавливается после обработки определения функции, а продолжает парсить код и выполнять команды оболочки, которые следуют после символов “() {” в переменной окружения.

Для проверки наличия уязвимости на своём компьютере можно запустить такой код:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"



2 комментария

  1. 01.10.2014 at 13:54

  2. 01.10.2014 at 13:56

    не баг, а фича =)

Оставить мнение